Apsaugokite namų serverį nuo išorinių išpuolių.

Šiandien pateiksiu keletą patarimų, kaip turėti saugesnį namų serverį (arba šiek tiek didesnį). Bet kol jie mane gyvą nesuplėšė.

NIEKAS NĖRA TOTAL SAUGUS

Su šia tiksliai apibrėžta išlyga tęsiu.

Aš einu dalimis ir neketinu labai kruopščiai paaiškinti kiekvieno proceso. Aš tai tik paminėsiu ir paaiškinsiu vieną ar kitą dalyką, kad jie galėtų eiti į „Google“ su aiškesne idėja, ko jie ieško.

Prieš diegimą ir jo metu

• Labai rekomenduojama serverį įdiegti kuo „minimaliau“. Tokiu būdu mes neleidžiame vykdyti paslaugų, kurių net nežinome, ar jos yra, ar kam jos skirtos. Tai užtikrina, kad visa sąranka bus vykdoma atskirai.
• Rekomenduojama, kad serveris nebūtų naudojamas kaip kasdieninė darbo vieta. (Su kuria skaitote šį įrašą. Pavyzdžiui)
• Tikiuosi, kad serveris neturi grafinės aplinkos

Skirstymas.

• Vartotojo naudojamus aplankus, tokius kaip "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", rekomenduojama priskirti kitam skaidiniui nei sisteminis.
• Kritiniai aplankai, pvz., „/ Var / log“ (kur saugomi visi sistemos žurnalai), dedami ant kito skaidinio.
• Dabar, atsižvelgiant į serverio tipą, jei, pavyzdžiui, tai yra pašto serveris. Aplankas "/var/mail ir / arba /var/spool/mail»Turi būti atskiras skaidinys.

Slaptažodis.

Niekam ne paslaptis, kad sistemos vartotojų ir (arba) kitų tipų paslaugų, naudojančių juos, slaptažodis turi būti saugus.

Rekomendacijos yra šios:

• Tame nėra: Jūsų vardas, augintinio vardas, giminaičių vardas, ypatingos datos, vietos ir kt. Apibendrinant. Slaptažodis neturi turėti nieko, kas susiję su jumis, nieko, kas supa jus ar jūsų kasdienį gyvenimą, taip pat neturėtų būti susijęs su pačia paskyra.  pavyzdys: „Twitter“ # 123.
• Slaptažodis taip pat turi atitikti tokius parametrus kaip: Sujungti didžiąsias, mažąsias, skaičius ir specialiuosius simbolius.  pavyzdys: „DiAFsd“ · 354 USD

Įdiegę sistemą

• Tai kažkas asmeniško. Bet man patinka ištrinti ROOT vartotoją ir priskirti visas privilegijas kitam vartotojui, todėl vengiu išpuolių prieš tą vartotoją. Būdamas labai įprastas.

• Labai praktiška užsiprenumeruoti adresų sąrašą, kuriame bus paskelbtos jūsų naudojamo paskirstymo saugos klaidos. Be tinklaraščių, „bugzilla“ ar kitų atvejų, kurie gali jus įspėti apie galimas klaidas.
• Kaip visada, rekomenduojama nuolat atnaujinti sistemą ir jos komponentus.
• Kai kurie žmonės taip pat rekomenduoja slaptažodžiu apsaugoti „Grub“ arba „LILO“ ir mūsų BIOS.
• Yra tokių įrankių kaip „chage“, leidžiantis vartotojams kiekvieną kartą priversti keisti slaptažodį, be minimalaus laiko, kurio jie turi laukti, ir kitų galimybių.

Yra daugybė būdų, kaip apsaugoti mūsų kompiuterį. Visa tai buvo prieš diegiant paslaugą. Ir tiesiog paminėk keletą dalykų.

Yra gana išsamūs vadovai, kuriuos verta perskaityti. norėdamas sužinoti apie šią didžiulę galimybių jūrą .. Laikui bėgant sužinai vieną ar kitą dalyką. Ir suprasite, kad jo visada trūksta .. Visada ...

Dabar užtikrinkime šiek tiek daugiau PASLAUGOS. Pirmoji mano rekomendacija visada yra: «NEPALIKITE Numatytų konfigūracijų». Visada eikite į paslaugos konfigūracijos failą, šiek tiek perskaitykite kiekvieno parametro veikimą ir nepalikite jo taip, kaip jis įdiegtas. Tai visada kelia problemų.

Tačiau:

SSH (/ etc / ssh / sshd_config)

SSH mes galime padaryti daug dalykų, kad nebūtų taip lengva pažeisti.

Pavyzdžiui:

-Neleiskite prisijungti prie šaknų (jei to nepakeitėte):

"PermitRootLogin no"

-Neleisk, kad slaptažodžiai būtų tušti.

"PermitEmptyPasswords no"

-Pakeiskite uostą, kuriame jis klausosi.

"Port 666oListenAddress 192.168.0.1:666"

-Teisėkite tik tam tikrus vartotojus.

"AllowUsers alex ref me@somewhere"   „Me @ kažkur“ yra priversti tą vartotoją visada prisijungti iš to paties IP.

-Teisėti tam tikras grupes.

"AllowGroups wheel admin"

Patarimai.

• Tai gana saugu ir taip pat beveik privaloma narvelius ssh vartotojams per chroot.
• Taip pat galite išjungti failų perdavimą.
• Apribokite nesėkmingų bandymų prisijungti skaičių.

Beveik būtinos priemonės.

Fail2ban: Šis įrankis, kuris yra saugyklose, leidžia mums apriboti daugelio tipų paslaugų „ftp, ssh, apache ... ir tt“ prieigų skaičių, uždraudžiant bandymų ribą viršijantį „ip“.

Kietikliai: Tai yra įrankiai, leidžiantys „sustiprinti“ arba greičiau apginkluoti savo instaliaciją su užkardomis ir (arba) kitomis instancijomis. Tarp jų "Griežčiau ir „Bastille Linux“«

Įsibrovėlių detektoriai: Yra daug NIDS, HIDS ir kitų įrankių, kurie leidžia mums užkirsti kelią atakoms ir apsisaugoti nuo jų naudojant žurnalus ir perspėjimus. Tarp daugelio kitų įrankių. Egzistuoja "OSSEC«

Apibendrinant. Tai nebuvo saugos vadovas, veikiau tai buvo keletas elementų, į kuriuos reikia atsižvelgti, norint turėti gana saugų serverį.

Kaip asmeninis patarimas. Skaitykite daug apie tai, kaip peržiūrėti ir analizuoti žurnalus, ir tapkime kai kuriais „Iptables“ nertais. Be to, kuo daugiau programinės įrangos yra įdiegta serveryje, tuo jis tampa labiau pažeidžiamas, pavyzdžiui, TVS turi būti gerai valdoma, ją atnaujinant ir labai gerai žiūrint, kokius papildinius mes dedame.

Vėliau noriu išsiųsti pranešimą, kaip užtikrinti kažką konkretaus. Ten, jei galiu pateikti daugiau informacijos ir atlikti praktiką.